청첩장·돌잔치 사칭 앱이나 메모리 해킹 등은 신종 스마트폰 사기 수법으로 각별한 주의가 필요하다. 오른쪽은 몸캠 피해자의 사진이 대화형 SNS를 통해 지인들에게 공개되는 장면들. 임준선 기자 kjlim@ilyo.co.kr
부산에 사는 평범한 회사원 김 아무개 씨. 김 씨는 최근 어느 누구에게도 말할 수 없는 새로운 취미에 푹 빠졌다. 스팸 메시지를 통해 알게 된 스마트폰 음란 화상채팅이 그것이다. 시쳇말로 ‘어마무시’한 수준의 데이터와 통화료가 좀먹듯 빠져나갔지만, 한 번 홀려버린 이 음란한 취미생활에서 도무지 헤어 나올 수 없었다. 온갖 유흥문화를 섭렵한 그지만, 스마트폰 화상채팅은 그 이전과는 비교할 수 없는 색다른 경험이었다.
그런 김 씨는 얼마 전, 황당한 일을 겪었다. 여느 때와 같이 그는 스마트폰 화상채팅을 통해 익명의 여성과 이른바 ‘몸캠(서로의 몸을 보여주며 통화하는 속어)’을 즐기고 있었다. 모처럼 마음에 드는 여성이었다. 외모는 물론 말도 잘 통했다. 그런데 갑자기 그 여성이 “좀 더 좋은 화질을 원하느냐. 지금 내가 보내주는 앱을 깔면 고화질에서 채팅을 즐길 수 있다”고 부추겼다. 이미 이성을 잃어버린 김 씨는 그 여성이 보내주는 앱을 냉큼 받아 깔았다. 이상한 것은 앱을 깔고 나서도 화질은 조금도 나아지지 않았다는 것.
문제는 며칠 뒤 터졌다. 그 여성이 보낸 앱은 화질 개선과는 아무런 상관이 없었다. 앱의 정체는 김 씨의 스마트폰 내 모든 연락처를 빼내간, 이른바 메모리 해킹 앱이었던 것. 상대 여성은 김 씨에게 “돈을 보내지 않으면, 당신의 가족과 지인들에게 채팅 당시 몰래 캡처한 당신의 사진을 유포하겠다”고 협박했다. 김 씨는 결국 돈을 건넸지만, 이후에도 계속 추가적인 금전을 요구해와 경찰에 수사를 의뢰할 수밖에 없었다.
기본적으로 화상채팅 앱은 운영자가 가입자의 채팅 내용과 영상을 저장하는 기능이 탑재돼 있다. 가입자 대부분 이를 인지하지 못한다. 해당 사건을 수사한 경찰 관계자는 이렇게 지적했다.
“요즘 들어 가장 흔하게 발생하는 유형의 스마트폰 범죄다. 대부분 남성들이 순간의 흥분을 자제하지 못해 넘어간다. 후에는 수치심을 이기지 못하고 결국 돈을 건넬 수밖에 없다. 어차피 이 앱 사기 일당의 목적은 돈이다. 메모리를 해킹했다고 하더라도 돈만 받으면 실제 유포하는 일은 거의 없다. 다만 피해자가 비협조적으로 나올 때 이를 유포하는 2차 피해도 발생한다.”
이른바 직거래 장터 앱을 이용한 사기도 요즘 트렌디한 스마트폰 범죄 중 하나다. 장터 앱이란 스마트폰으로 판매자와 구매자 간 직거래를 가능케 하는 전자상거래 앱 중 하나다. 기존의 쇼핑몰 앱은 운영자 자체가 사업자이기 때문에, 법으로 규정한 전자상거래 절차에 따라 물품을 구입해야 하지만 장터 앱은 이러한 절차를 생략한 채 간편하게 직거래를 할 수 있다는 장점이 있다. 반대로 보안에는 취약하다. 범죄자가 직접 장터 앱을 제작하거나 기존의 활성화된 앱을 터전으로 삼기도 한다.
한 예로 올 초 대전에선 이 직거래 앱을 배경으로 사기 행각을 벌인 10대 청소년 2명이 검거된 사건이 있었다. 당시 이들은 직거래 앱에 ‘스마트폰을 반값에 판매한다’는 허위 광고를 유포한 후 사람들을 유혹했다. 사전에 지인의 주민등록증을 도용, 아예 대포통장까지 만든 후였다. 당시 이들에게 당한 피해자만 22명에 달했다. 거래에 있어서 모든 확인 절차가 생략된 직거래 앱 특유의 환경에서 가능했던 범죄다.
최근 민방위 소집 통보를 가장한 스미싱이 전국에 번진 바 있다.
최근 예비군 소집 통보를 가장한 ‘스미싱’이 전국에 번진 바 있다. 스미싱이란 문자메시지(SMS)와 피싱(Phishing·개인정보 낚시질)의 합성어로 문자메시지 내 인터넷주소를 클릭하면 악성코드가 설치돼 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인·금융정보 탈취하는 수법이다.
당시 메시지 내용은 ‘예비군 소집 정보를 받기 위해 앱을 깔아야 한다’며 특정 인터넷 주소를 링크해 놨다. 그 링크를 클릭한 순간 악성코드가 묻어 있는 앱이 각 스마트폰에 설치된다. 당시 보안업계의 코드 분석 결과 해당 악성코드 목적은 개인 금융정보 탈취였다. 다행히도 보안당국의 재빠른 후속조치와 최초 유포자의 조악한 기술 탓에 파동은 크지 않았지만, 아찔한 순간이었다. 보안업계 관계자는 스마트폰을 이용한 사기의 영역을 이렇게 정의했다.
“원칙적으로만 따지자면, 이제 온·오프라인에서 할 수 있는 모든 사기 행각이 스마트폰으로 가능하다. 앱을 통한 상거래 사기는 이제 애교 수준이다. 단순한 메모리 해킹은 기본이다. 앞서 사건에서 살필 수 있듯 개인의 금융정보까지 피싱할 수 있다. 심지어 스마트폰의 개인 통화 녹취는 물론 영상 촬영도 원격으로 할 수 있다. 문제는 어느 정도 프로그래밍 능력만 있으면 이러한 악성 앱은 어느 누구나 손쉽게 만들 수 있다는 점이다. 또 모바일 보안 영역은 기존의 온라인과 비교해 아직은 미비한 수준이다.”
스마트폰 사용자 상당수는 자신의 스마트폰에 공인인증서는 물론 보안카드 메모리까지 저장해 두는 경우가 많다. 일반적으로 스마트폰 내장 메모리보다는 외장 메모리가 보안에 더 취약한데, 앞서의 금융 정보 대부분은 외장 메모리에 저장된다. 이러한 사정에서 의도를 가진 외부 침입자가 금융 정보를 피싱할 경우 상황은 무척 심각해지는 것이다. 만약 ‘안드로이드’ 스마트폰으로 보안카드를 사진으로 찍어 저장할 경우, 이는 외부 구글망과 공유되기 때문에 더욱 위험하다. 박상환 한국인터넷진흥원(KISA) 코드분석 팀장은 스마트폰을 이용한 사기 등 범죄를 예방하기 위한 몇 가지 주의사항을 당부했다.
“애초 의심이 가는 문자메시지, 특히 인터넷 주소가 동반된 메시지라면 클릭조차 안하고 버려야 한다. 또 앱은 반드시 검증된 마켓에서 다운 받아야 한다. 스마트폰 백신은 언제나 활성화하되, 매일 패턴 업데이트를 해야 한다. 마지막으로 스마트폰 보안설정은 최대한 높게 해야 한다. 이를 무시하면 위험한 앱을 거를 수가 없다.”
한병관 기자 wlimodu@ilyo.co.kr
북한 해킹에 노출된 국내 스마트폰 2만대 악성앱 감염 ‘덜덜’ “북한이 남한의 스마트폰 2만 대를 해킹하려 했다.” 북한이 기존 전산망 공격에서 더 나아가 스마트폰까지 영역을 확대한 사실이 밝혀진 것은 이번이 처음이다. 보안업계 관계자는 “북한이 스마트폰을 사이버 공격의 대상으로 삼았다는 점은 효율성 측면에서 어느 정도 이해가 가는 대목”이라며 “북한의 이번 공격 기반은 비교적 보안이 취약하고 유통이 쉬운 ‘안드로이드’였다. 만약에 유통이 어렵고 폐쇄적인 ‘iOS(아이폰 등 애플 운영체제)’를 기반으로 하는 악성 앱까지 개발한다면 문제는 더욱 심각해진다. 정부 차원에서 대응책이 필요하다”고 지적했다. [한] |